Sécurité
Cette page résume les mesures de sécurité appliquées par Comdoo. Elle est informative et n'engage pas de garantie contractuelle ; les coordonnées de signalement [À compléter] doivent être renseignées par l'éditeur.
Protection des clés API
Les clés (OpenAI, Odoo, intégrations) sont chiffrées au repos (AES-256-GCM), jamais exposées au navigateur, jamais journalisées et jamais réaffichées en clair après enregistrement.
Contrôle d'accès
Les espaces privés sont protégés côté serveur par des rôles hiérarchiques et des permissions granulaires. La protection ne repose jamais sur le seul masquage de l'interface.
Chiffrement des échanges
Les communications utilisent HTTPS. Des en-têtes de sécurité (HSTS, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy) et une politique de sécurité du contenu (CSP) stricte sont appliqués.
Journalisation
Les actions sensibles sont journalisées (audit) sans jamais enregistrer de secrets, mots de passe, jetons ou contenus inutiles. Les appels IA sont journalisés sans le contenu des prompts ni des réponses.
Minimisation et validation
Les entrées sont validées (Zod), les endpoints sensibles sont soumis à une limitation de débit, et les requêtes sortantes contrôlées (protection SSRF) pour les flux et intégrations.
Bonnes pratiques recommandées
Pour les connexions Odoo, utilisez un utilisateur dédié aux droits limités (idéalement en lecture seule au départ) et révoquez la connexion en cas de doute.
Signalement d'une vulnérabilité
Vous pensez avoir identifié une faille ? Contactez-nous à [À compléter — email sécurité]. Merci de ne pas divulguer publiquement avant correction.